Referenz zu Microsoft Sentinel-Entitätstypen

  • Artikel
  • 14 Minuten Lesedauer

Entitätstypen und Bezeichner

Die folgende Tabelle zeigt die Entitätstypen, die derzeit für die Zuordnung in Microsoft Sentinel verfügbar sind, und die Attribute, die als Bezeichner für jeden Entitätstyp verfügbar sind. Diese werden in der Dropdownliste Bezeichner im Abschnitt Entitätszuordnung des Analyseregel-Assistenten angezeigt.

Jeder der Bezeichner in der Spalte erforderliche Bezeichner ist mindestens erforderlich, um die zugehörige Entität zu identifizieren. Ein erforderlicher Bezeichner kann allein jedoch nicht ausreichen, um eine eindeutige Identifikation bereitzustellen. Umso mehr Bezeichner verwendet werden, desto größer ist die Wahrscheinlichkeit der eindeutigen Identifizierung. Sie können bis zu drei Bezeichner für eine einzelne Entitätszuordnung verwenden.

Um optimale Ergebnisse (garantiert eindeutige Identifizierung) zu gewährleisten, sollten Sie nach Möglichkeit Bezeichner aus der Spalte mit den stärksten Bezeichnern verwenden. Durch die Verwendung mehrerer starker Bezeichner wird die Korrelation zwischen starken Bezeichnern aus unterschiedlichen Datenquellen und Schemas ermöglicht. Dies ermöglicht es Microsoft Sentinel wiederum, umfassendere Einblicke für eine bestimmte Entität bereitzustellen.

Entitätstyp Bezeichner Erforderliche Bezeichner Stärkste Bezeichner
Benutzerkonto
(Konto)		 Name
FullName
NTDomain
DnsDomain
UPNSuffix
Sid
AadTenantId
AadUserId
PUID
IsDomainJoined
DisplayName
ObjectGuid		 FullName
Sid
Name
AadUserId
PUID
ObjectGuid		 Name und NTDomain
Name und UPNSuffix
AADUserId
Sid
Host DnsDomain
NTDomain
HostName
FullName
NetBiosName
AzureID
OMSAgentID
OSFamily
OSVersion
IsDomainJoined		 FullName
HostName
NetBiosName
AzureID
OMSAgentID		 HostName und NTDomain
HostName und DnsDomain
NetBiosName und NTDomain
NetBiosName und DnsDomain
AzureID
OMSAgentID
IP address (IP-Adresse)
(IP)		 Adresse Adresse
Malware Name
Category		 Name
Datei Verzeichnis
Name		 Name
Prozess ProcessId
CommandLine
ElevationToken
CreationTimeUtc		 CommandLine
ProcessId
Cloudanwendung
(CloudApplication)		 AppId
Name
InstanceName		 AppId
Name
Domänenname
(DNS)		 DomainName DomainName
Azure-Ressource ResourceId ResourceId
Dateihash
(FileHash)		 Algorithmus
Wert		 Algorithmus und Wert
Registrierungsschlüssel Hive
Schlüssel		 Hive
Schlüssel		 Hive und Schlüssel
Registrierungswert Name
Wert
ValueType		 Name
Sicherheitsgruppe DistinguishedName
SID
ObjectGuid		 DistinguishedName
SID
ObjectGuid
URL url url
IoT-Gerät IoTHub
deviceId
DeviceName
IoTSecurityAgentId
DeviceType
`Source`
SourceRef
Hersteller
Modellieren
OperatingSystem
IpAddress
MacAddress
Protokolle
SerialNumber		 IoTHub
deviceId		 IoTHub und DeviceId
Mailbox MailboxPrimaryAddress
DisplayName
Upn
ExternalDirectoryObjectId
RiskLevel		 MailboxPrimaryAddress
E-Mail-Cluster NetworkMessageIds
CountByDeliveryStatus
CountByThreatType
CountByProtectionStatus
Bedrohungen
Abfrage
QueryTime
MailCount
IsVolumeAnomaly
`Source`
ClusterSourceIdentifier
ClusterSourceType
ClusterQueryStartTime
ClusterQueryEndTime
ClusterGroup		 Abfrage
`Source`		 Abfrage und Quelle
E-Mail Recipient
URLs
Bedrohungen
Sender
P1Sender
P1SenderDisplayName
P1SenderDomain
SenderIP
P2Sender
P2SenderDisplayName
P2SenderDomain
ReceivedDate
NetworkMessageId
InternetMessageId
Subject
BodyFingerprintBin1
BodyFingerprintBin2
BodyFingerprintBin3
BodyFingerprintBin4
BodyFingerprintBin5
AntispamDirection
DeliveryAction
DeliveryLocation
Sprache
ThreatDetectionMethods		 NetworkMessageId
Recipient		 NetworkMessageId und Empfänger
Übermittlungs-E-Mail SubmissionId
SubmissionDate
Absender
NetworkMessageId
Timestamp
Recipient
Sender
SenderIp
Subject
ReportType		 SubmissionId
NetworkMessageId
Recipient
Absender
Sentinel-Entitäten Entitäten Entitäten

Entitätstypschemas

Im Folgenden finden Sie eine ausführlichere Beschreibung der vollständigen Schemas für jeden Entitätstyp. Sie werden feststellen, dass viele dieser Schemas Links zu anderen Entitätstypen enthalten, z. B. enthält das Benutzerkontoschema einen Link zum Host-Entitätstyp, da ein Attribut eines Benutzerkontos der Host ist, für den es definiert ist. Diese extern verknüpften Entitäten können nicht als Bezeichner für die Entitätszuordnung verwendet werden, sie sind jedoch sehr nützlich, um ein umfassendes Bild von Entitäten auf Entitätsseiten und im Untersuchungsdiagramm zu erhalten.

Hinweis

Ein Fragezeichen, das auf den Wert in der Spalte Type folgt, gibt an, dass das Feld NULL-Werte zulässt.

Benutzerkonto

Entitätsname: Account

Feld type BESCHREIBUNG
type String ‘account’
Name String Der Kontoname. Dieses Feld sollte nur den Namen enthalten, ohne dass eine Domäne hinzugefügt wird.
FullName N/V Kein Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung enthalten.
NTDomain Zeichenfolge Der NETBIOS-Domänenname, wie er im Warnungsformat angezeigt wird (domain\username). Beispiele: Finance, NT AUTHORITY
DnsDomain Zeichenfolge Der vollqualifizierte DNS-Domänenname. Beispiele: finance.contoso.com
UPNSuffix Zeichenfolge Das Suffix des Benutzerprinzipalnamens für das Konto. In einigen Fällen handelt es sich hierbei auch um den Domänennamen. Beispiele: contoso.com
Host Entität Der Host, der das Konto enthält, wenn es sich um ein lokales Konto handelt.
Sid Zeichenfolge Die Kontosicherheitsbezeichner, z. B. S-1-5-18.
AadTenantId Guid? Die Azure AD-Mandanten-ID, wenn bekannt.
AadUserId Guid? Die Azure AD-Kontoobjekt-ID, wenn bekannt.
PUID Guid? Die Azure AD-Passport-Benutzer-ID, wenn bekannt.
IsDomainJoined Bool? Bestimmt, ob es sich um ein Domänenkonto handelt.
DisplayName Zeichenfolge Der Anzeigename des Kontos.
ObjectGuid Guid? Das objectGUID-Attribut ist ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird.

Starke Bezeichner einer Kontoentität:

  • Name und UPNSuffix
  • AadUserId
  • Sid und Host (erforderlich für SIDs von integrierten Konten)
  • Sid (ausgenommen SIDs von integrierten Konten)
  • Name und NTDomäne (außer wenn NTDomain eine integrierte Domäne ist, z. B. „Workgroup“)
  • Name und Host (wenn NTDomain eine integrierte Domäne ist, z. B. „Workgroup“)
  • Name und DnsDomain
  • PUID
  • ObjectGuid

Schwache Bezeichner einer Kontoentität:

  • Name

Host

Feld type BESCHREIBUNG
type String ‘host’
DnsDomain Zeichenfolge Die DNS-Domäne, zu der dieser Host gehört. Sollte das vollständige DNS-Suffix für die Domäne enthalten, sofern bekannt.
NTDomain Zeichenfolge Die DNS-Domäne, zu der dieser Host gehört.
HostName Zeichenfolge Der Hostname ohne das Domänensuffix.
FullName N/V Kein Teil des Schemas, aus Gründen der Abwärtskompatibilität mit der alten Version der Entitätszuordnung enthalten.
NetBiosName Zeichenfolge Der Hostname (vor Windows 2000).
IoTDevice Entität Die IoT-Geräteentität (wenn dieser Host ein IoT-Gerät darstellt).
AzureID Zeichenfolge Die Azure-Ressourcen-ID der VM, falls bekannt.
OMSAgentID Zeichenfolge Die OMS-Agent-ID, wenn der OMS-Agent auf dem Host installiert ist.
OSFamily Enum? Einer der folgenden Werte:
  • Linux
  • Windows
  • Android
  • IOS
    		•
    OSVersion Zeichenfolge Eine Freitextdarstellung des Betriebssystems.
    Dieses Feld soll bestimmte Versionen enthalten, die präziser als OSFamily sind, oder zukünftige Werte, die von der OSFamily-Enumeration nicht unterstützt werden.
    IsDomainJoined Bool Bestimmt, ob dieser Host zu einer Domäne gehört.

    Starke Bezeichner einer Hostentität:

    • HostName und NTDomain
    • HostName und DnsDomain
    • NetBiosName und NTDomain
    • NetBiosName und DnsDomain
    • AzureID
    • OMSAgentID
    • IoTDevice (wird für Entitätszuordnung nicht unterstützt)

    Schwache Bezeichner einer Hostentität:

    • HostName
    • NetBiosName

    IP address (IP-Adresse)

    Entitätsname: IP

    Feld type BESCHREIBUNG
    type String ‘ip’
    Adresse Zeichenfolge Die IP-Adresse als Zeichenfolge, z. B. 127.0.0.1 (in IPv4 oder IPv6).
    Location GeoLocation Der an die IP-Entität angefügte Geostandortkontext.

    Weitere Informationen finden Sie unter Anreichern von Entitäten in Microsoft Sentinel mit Geolocationdaten über die REST-API (öffentliche Vorschau).

    Starke Bezeichner einer IP-Entität:

    • Adresse

    Malware

    Feld type BESCHREIBUNG
    type String ‘malware’
    Name String Der Name der Schadsoftware vom Hersteller, z. B Win32/Toga!rfn.
    Category String Die Schadsoftwarekategorie vom Hersteller, z. B. Trojaner.
    Dateien List<Entity> Liste der verknüpften Dateientitäten, für die die Schadsoftware gefunden wurde. Kann die Dateientitäten inline oder als Verweis enthalten.
    Weitere Details zur Struktur finden Sie in der File-Entität.
    Prozesse List<Entity> Liste der verknüpften Prozessentitäten, für die die Schadsoftware gefunden wurde. Dies wird häufig verwendet, wenn die Warnung bei einer dateilosen Aktivität ausgelöst wird.
    Weitere Details zur Struktur finden Sie in der Process-Entität.

    Starke Bezeichner einer Malwareentität:

    • Name und Kategorie

    Datei

    Feld type BESCHREIBUNG
    type String ‘file’
    Verzeichnis Zeichenfolge Der vollständige Pfad zur Datei.
    Name String Der Dateiname ohne den Pfad (einige Warnungen enthalten möglicherweise keinen Pfad).
    Host Entität Der Host, auf dem die Datei gespeichert wurde.
    FileHashes List<Entity> Die Dateihashes, die dieser Datei zugeordnet sind.

    Starke Bezeichner einer Dateientität:

    • Name und Verzeichnis
    • Name und FileHash
    • Name und Verzeichnis und FileHash

    Prozess

    Feld type BESCHREIBUNG
    type String ‘process’
    ProcessId Zeichenfolge Die Prozess-ID.
    CommandLine Zeichenfolge Die Befehlszeile, die zum Erstellen des Prozesses verwendet wird.
    ElevationToken Enum? Das dem Prozess zugeordnete Erhöhungstoken.
    Mögliche Werte:
  • TokenElevationTypeDefault
  • TokenElevationTypeFull
  • TokenElevationTypeLimited
    		•
    CreationTimeUtc DateTime? Die Zeit, zu der die Ausführung des Prozesses gestartet wurde.
    ImageFile Entität (Datei) Kann die Dateientität inline oder als Verweis enthalten.
    Weitere Details zur Struktur finden Sie in der File-Entität.
    Konto Entität Das Konto, mit dem die Prozesse ausgeführt werden.
    Kann die Account-Entität inline oder als Verweis enthalten.
    Weitere Details zur Struktur finden Sie in der Account-Entität.
    ParentProcess Entität (Prozess) Die übergeordnete Prozessentität.
    Kann partielle Daten enthalten, d. h. nur die PID.
    Host Entität Der Host, auf dem der Prozess ausgeführt wurde.
    LogonSession Entität (HostLogonSession) Die Sitzung, in der der Prozess ausgeführt wurde.

    Starke Bezeichner einer Prozessentität:

    • Host und ProcessID und CreationTimeUtc
    • Host und ParentProcessId und CreationTimeUtc und CommandLine
    • Host und ProcessId und CreationTimeUtc und ImageFile
    • Host und ProcessId und CreationTimeUtc und ImageFile.FileHash

    Schwache Bezeichner einer Prozessentität:

    • ProcessID und CreationTimeUtc und CommandLine (und kein Host)
    • ProcessID und CreationTimeUtc und ImageFile (und kein Host)

    Cloudanwendung

    Entitätsname: CloudApplication

    Feld type BESCHREIBUNG
    type String ‘cloud-application’
    AppId Int Der technische Bezeichner der Anwendung. Dies sollte einer der Werte sein, die in der Liste der Cloudanwendungsbezeichner definiert sind. Der Wert für das AppId-Feld ist optional.
    Name String Der Name der verwandten Cloudanwendung. Der Wert für den Anwendungsnamen ist optional.
    InstanceName Zeichenfolge Der benutzerdefinierte Instanzname der Cloudanwendung. Er wird häufig verwendet, um zwischen verschiedenen Anwendungen desselben Typs zu unterscheiden, die ein Kunde verwendet.

    Starke Bezeichner einer Cloudanwendungsentität:

    • AppId (ohne InstanceName)
    • Name (ohne InstanceName)
    • AppId und InstanceName
    • Name und InstanceName

    Domänenname

    Entitätsname: DNS

    Feld type BESCHREIBUNG
    type String ‘dns’
    DomainName Zeichenfolge Der Name des DNS-Eintrags, der der Warnung zugeordnet ist.
    IpAddress List<Entity (IP)> Entitäten, die den aufgelösten IP-Adressen entsprechen.
    DnsServerIp Entity (IP) Eine Entität, die den DNS-Server darstellt, der die Anforderung auflöst.
    HostIpAddress Entity (IP) Eine Entität, die den DNS-Anforderungsclient darstellt.

    Starke Bezeichner einer DNS-Entität:

    • DomainName und DnsServerIp und HostIpAddress

    Schwache Bezeichner einer DNS-Entität:

    • DomainName und HostIpAddress

    Azure-Ressource

    Feld type BESCHREIBUNG
    type String 'azure-resource'
    resourceId String Die Azure-Ressourcen-ID der Ressource.
    SubscriptionId Zeichenfolge Die Abonnement-ID der Ressource.
    TryGetResourceGroup Bool Der Ressourcengruppenwert, falls vorhanden.
    TryGetProvider Bool Der Anbieterwert, falls vorhanden.
    TryGetName Bool Der Namenwert, falls vorhanden.

    Starke Bezeichner einer Azure-Ressourcenentität:

    • ResourceId

    Dateihash

    Entitätsname: FileHash

    Feld type BESCHREIBUNG
    type String 'filehash'
    Algorithmus Enumeration Der Hashalgorithmustyp. Mögliche Werte:
  • Unbekannt
  • MD5
  • SHA1
  • SHA256
  • SHA256AC
    		•
    Wert Zeichenfolge Der Hashwert.

    Starke Bezeichner einer Dateihashentität:

    • Algorithmus und Wert

    Registrierungsschlüssel

    Entitätsname: RegistryKey

    Feld type BESCHREIBUNG
    type String ‘registry-key’
    Hive Enum? Einer der folgenden Werte:
  • HKEY_LOCAL_MACHINE
  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_USERS
  • HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKEY_PERFORMANCE_DATA
  • HKEY_PERFORMANCE_NLSTEXT
  • HKEY_PERFORMANCE_TEXT
  • HKEY_A
  • HKEY_CURRENT_USER
    		•
    Schlüssel Zeichenfolge Der Registrierungsschlüsselpfad.

    Starke Bezeichner einer Registrierungsschlüsselentität:

    • Hive und Schlüssel

    Registrierungswert

    Entitätsname: RegistryValue

    Feld type BESCHREIBUNG
    type String ‘registry-value’
    Schlüssel Entität (RegistryKey) Die Registrierungsschlüsselentität.
    Name String Der Name des Registrierungswerts.
    Wert Zeichenfolge Als Zeichenfolge formatierte Darstellung der Wertdaten.
    ValueType Enum? Einer der folgenden Werte:
  • String
  • Binary
  • DWord
  • Qword
  • MultiString
  • ExpandString
  • Keine
  • Unbekannt
    Werte sollten der Microsoft. Win32.RegistryValueKind-Enumeration entsprechen.
    		•

    Starke Bezeichner einer Registrierungswertentität:

    • Schlüssel und Name

    Schwache Bezeichner einer Registrierungswertentität:

    • Name (ohne Schlüssel)

    Sicherheitsgruppe

    Entitätsname: SecurityGroup

    Feld type BESCHREIBUNG
    type String 'security-group'
    DistinguishedName Zeichenfolge Der Distinguished Name (DN) der Gruppe.
    SID Zeichenfolge Das SID-Attribut ist ein Einzelwertattribut, das die Sicherheits-ID (SID) der Gruppe angibt.
    ObjectGuid Guid? Das objectGUID-Attribut ist ein Einzelwertattribut, bei dem es sich um den eindeutigen Bezeichner für das Objekt handelt, der durch Active Directory zugewiesen wird.

    Starke Bezeichner einer Sicherheitsgruppenentität:

    • DistinguishedName
    • SID
    • ObjectGuid

    URL

    Feld type BESCHREIBUNG
    type String 'url'
    url Uri Eine vollständige URL, auf die die Entität verweist.

    Starke Bezeichner einer URL-Entität:

    • URL (wenn absolute URL)

    Schwache Bezeichner einer URL-Entität:

    • URL (wenn relative URL)

    IoT-Gerät

    Entitätsname: IoTDevice

    Feld type BESCHREIBUNG
    type String 'iotdevice'
    IoTHub Entität (AzureResource) Die AzureResource-Entität, die den IoT Hub darstellt, zu dem das Gerät gehört.
    deviceId Zeichenfolge Die ID des Geräts im Kontext des IoT Hub.
    DeviceName Zeichenfolge Der Anzeigename des Geräts.
    IoTSecurityAgentId Guid? Die ID des Defender für IoT-Agents, der auf dem Gerät ausgeführt wird.
    DeviceType Zeichenfolge Der Typ des Geräts („Temperatursensor“, „Kühlung“, „Windrad“ usw.).
    `Source` String Die Quelle (Microsoft/Hersteller) der Geräteentität.
    SourceRef Entität (URL) Ein URL-Verweis auf das Quellelement, in dem das Gerät verwaltet wird.
    Hersteller Zeichenfolge Der Hersteller des Geräts.
    Modellieren Zeichenfolge Das Gerätemodell.
    OperatingSystem Zeichenfolge Das Betriebssystem, das das Gerät ausführt.
    IpAddress Entity (IP) Die aktuelle IP-Adresse des Geräts.
    MacAddress Zeichenfolge Die MAC-Adresse des Geräts.
    Protokolle List<String> Eine Liste der Protokolle, die vom Gerät unterstützt werden.
    SerialNumber Zeichenfolge Die Seriennummer des Geräts.

    Starke Bezeichner einer IoT-Geräteentität:

    • IoTHub und DeviceId

    Schwache Bezeichner einer IoT-Geräteentität:

    • DeviceId -ID (ohne IoTHub)

    Mailbox

    Feld type BESCHREIBUNG
    type String 'mailbox'
    MailboxPrimaryAddress Zeichenfolge Die primäre Adresse des Postfachs.
    DisplayName Zeichenfolge Der Anzeigename des Postfachs.
    Upn Zeichenfolge Der UPN des Postfachs.
    RiskLevel Enum? Die Risikostufe dieses Postfachs. Mögliche Werte:
  • Keine
  • Niedrig
  • Medium
  • High
    		•
    ExternalDirectoryObjectId Guid? Der AzureAD-Bezeichner des Postfachs. Ähnlich wie AadUserId in der Account-Entität. Diese Eigenschaft ist jedoch für das Postfachobjekt auf der Office-Seite spezifisch.

    Starke Bezeichner einer Postfachentität:

    • MailboxPrimaryAddress

    E-Mail-Cluster

    Entitätsname: MailCluster

    Hinweis

    Microsoft Defender für Office 365 wurde früher als Office 365 Advanced Threat Protection (O365 ATP) bezeichnet.

    Feld type BESCHREIBUNG
    type String 'mail-cluster'
    NetworkMessageIds IList<String> Die E-Mail-Nachrichten-IDs, die Teil des Nachrichtenclusters sind.
    CountByDeliveryStatus IDictionary<String,Int> Anzahl von E-Mail-Nachrichten nach DeliveryStatus-Zeichenfolgendarstellung.
    CountByThreatType IDictionary<String,Int> Anzahl von E-Mail-Nachrichten nach ThreatType-Zeichenfolgendarstellung.
    CountByProtectionStatus IDictionary<String,long> Anzahl von E-Mail-Nachrichten nach Bedrohungsschutzstatus.
    Bedrohungen IList<String> Die Bedrohungen von E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind.
    Abfrage Zeichenfolge Die Abfrage, mit der die Nachrichten des Nachrichtenclusters identifiziert wurden.
    QueryTime DateTime? Die Abfragezeit.
    MailCount Int? Die Anzahl der E-Mail-Nachrichten, die Teil des Nachrichtenclusters sind.
    IsVolumeAnomaly Bool? Bestimmt, ob es sich um einen Volumenanomalie-Nachrichtencluster handelt.
    `Source` String Die Quelle des Nachrichtenclusters (Standardwert ist „O365 ATP“).
    ClusterSourceIdentifier Zeichenfolge Die Netzwerknachrichten-ID der E-Mail, die die Quelle dieses Nachrichtenclusters ist.
    ClusterSourceType Zeichenfolge Der Quelltyp des Nachrichtenclusters. Dieser wird der MailClusterSourceType-Einstellung von Microsoft Defender für Office 365 zugeordnet (siehe Hinweis oben).
    ClusterQueryStartTime DateTime? Startzeit des Clusters: wird als Startzeit für die Abfrage der Clusteranzahl verwendet. Datiert in der Regel auf der Endzeit minus der DaysToLookBack-Einstellung aus Microsoft Defender für Office 365 (siehe Hinweis oben).
    ClusterQueryEndTime DateTime? Endzeit des Clusters: wird als Endzeit für die Abfrage der Clusteranzahl verwendet. Normalerweise die Empfangszeit der Daten der E-Mail.
    ClusterGroup Zeichenfolge Entspricht dem Kusto-Abfrageschlüssel, der von Microsoft Defender für Office 365 verwendet wird (siehe Hinweis oben).

    Starke Bezeichner einer Nachrichtencluster Entität:

    • Abfrage und Quelle

    E-Mail

    Entitätsname: MailMessage

    Feld type BESCHREIBUNG
    type String 'mail-message'
    Dateien IList<File> Die Dateientitäten der Anlagen dieser E-Mail-Nachricht.
    Recipient Zeichenfolge Der Empfänger dieser E-Mail-Nachricht. Im Fall mehrerer Empfänger wird die E-Mail-Nachricht kopiert, und jede Kopie weist einen Empfänger auf.
    URLs IList<String> Die in dieser E-Mail-Nachricht enthaltenen URLs.
    Bedrohungen IList<String> Die in dieser E-Mail-Nachricht enthaltenen Bedrohungen.
    Sender Zeichenfolge Die E-Mail-Adresse des Absenders.
    P1Sender Zeichenfolge E-Mail-ID des (delegierten) Benutzers, der diese E-Mail „im Auftrag von P2 (primärer Benutzer)“ gesendet hat. Wenn die E-Mail nicht vom Delegaten gesendet wird, entspricht dieser Wert P2Sender.
    P1SenderDisplayName Zeichenfolge Anzeigename des (delegierten) Benutzers, der diese E-Mail „im Auftrag von P2 (primärer Benutzer)“ gesendet hat. Wird im E-Mail-Header durch die OnbehalfofSenderDisplayName-Eigenschaft dargestellt.
    P1SenderDomain Zeichenfolge E-Mail-Domäne des (delegierten) Benutzers, der diese E-Mail „im Auftrag von P2 (primärer Benutzer)“ gesendet hat. Wenn die E-Mail nicht vom Delegaten gesendet wird, entspricht dieser Wert P2SenderDomain.
    P2Sender Zeichenfolge E-Mail des (primären) Benutzers, in dessen Auftrag diese E-Mail gesendet wurde.
    P2SenderDisplayName Zeichenfolge Anzeigename des (primären) Benutzers, in dessen Auftrag diese E-Mail gesendet wurde. Wenn die E-Mail nicht vom Delegaten gesendet wird, stellt dies den Anzeigenamen des Absenders dar.
    P2SenderDomain Zeichenfolge E-Mail-Domäne des (primären) Benutzers, in dessen Auftrag diese E-Mail gesendet wurde. Wenn die E-Mail nicht vom Delegaten gesendet wird, stellt dies die Domäne des Absenders dar.
    SenderIP Zeichenfolge Die IP-Adresse des Absenders.
    ReceivedDate Datetime Das Empfangsdatum dieser Nachricht.
    NetworkMessageId Guid? Die Netzwerknachrichten-ID dieser E-Mail-Nachricht.
    InternetMessageId Zeichenfolge Die Internetnachrichten-ID dieser E-Mail-Nachricht.
    Subject Zeichenfolge Der Betreff dieser E-Mail-Nachricht.
    BodyFingerprintBin1
    BodyFingerprintBin2
    BodyFingerprintBin3
    BodyFingerprintBin4
    BodyFingerprintBin5    		 UInt? Wird von Microsoft Defender für Office 365 verwendet, um übereinstimmende oder ähnliche E-Mail-Nachrichten zu ermitteln.
    AntispamDirection Enum? Die Direktionalität dieser E-Mail-Nachricht. Mögliche Werte:
  • Unbekannt
  • Eingehend
  • Ausgehend
  • Innerhalb der Organisation (intern)
    		•
    DeliveryAction Enum? Die Übermittlungsaktion dieser E-Mail-Nachricht. Mögliche Werte:
  • Unbekannt
  • DeliveredAsSpam
  • Geliefert
  • Gesperrt
  • Ersetzt
    		•
    DeliveryLocation Enum? Die Übermittlungsort dieser E-Mail-Nachricht. Mögliche Werte:
  • Unbekannt
  • Posteingang
  • JunkFolder
  • Deletedfolder
  • Quarantäne
  • Extern
  • Fehler
  • Dropped
  • Weitergeleitet
    		•
    Sprache String Die Sprache, in der der Inhalt der E-Mail-Nachricht geschrieben wird.
    ThreatDetectionMethods IList<String> Die Liste der auf diese E-Mail angewendeten Methoden zur Bedrohungserkennung.

    Starke Bezeichner einer E-Mail-Nachrichtenentität:

    • NetworkMessageId und Empfänger

    Übermittlungs-E-Mail

    Entitätsname: SubmissionMail

    Feld type BESCHREIBUNG
    type String 'SubmissionMail'
    SubmissionId Guid? Die Übermittlungs-ID.
    SubmissionDate DateTime? Gemeldetes Datum und die Uhrzeit dieser Übermittlung.
    Absender Zeichenfolge Die E-Mail-Adresse des Übermittlers.
    NetworkMessageId Guid? Die Netzwerknachrichten-ID der E-Mail, zu der die Übermittlung gehört.
    Timestamp DateTime? Der Zeitstempel für den Nachrichtempfang (E-Mail).
    Recipient Zeichenfolge Der Empfänger der E-Mail.
    Sender Zeichenfolge Der Absender der E-Mail.
    SenderIp Zeichenfolge Die IP-Adresse des Absenders.
    Subject Zeichenfolge Der Betreff der Übermittlungs-E-Mail.
    ReportType Zeichenfolge Der Übermittlungstyp für die angegebene Instanz. Dies wird Junk, Phish, Malware oder NotJunk zugeordnet.

    Starke Bezeichner einer SubmissionMail-Entität:

    • SubmissionId, Submitter, NetworkMessageId, Recipient

    Sentinel-Entitäten

    Feld type BESCHREIBUNG
    Entitäten String Eine Liste der in der Warnung identifizierten Entitäten. Diese Liste ist die Spalte Entitäten aus dem SecurityAlert-Schema (siehe Dokumentation).

    Cloudanwendungsbezeichner

    In der folgenden Liste werden Bezeichner für bekannte Cloudanwendungen definiert. Der App-ID-Wert wird als Entitätsbezeichner für die Cloudanwendung verwendet.

    App-ID Name
    10026 DocuSign
    10395 Anaplan
    10489 Feld
    10549 Cisco Webex
    10618 Atlassian
    10915 cornerstone ondemand
    10921 Zendesk
    10980 Okta
    11042 Jive Software
    11114 Salesforce
    11161 Office 365
    11162 Microsoft OneNote Online
    11394 Microsoft Online Services
    11522 Yammer
    11599 Amazon Web Services
    11627 Dropbox
    11713 Expensify
    11770 G Suite
    12005 SuccessFactors
    12260 Microsoft Azure
    12275 Workday
    13843 LivePerson
    13979 Concur
    14509 ServiceNow
    15570 Tableau
    15600 Microsoft OneDrive for Business
    15782 Citrix ShareFile
    17152 Amazon
    17865 Ariba Inc
    18432 Zscaler
    19688 Xactly
    20595 Microsoft Defender für Cloud-Apps
    20892 Microsoft SharePoint Online
    20893 Microsoft Exchange Online
    20940 Active Directory
    20941 Adallom CPanel
    22110 Google Cloud Platform
    22930 Gmail
    23004 Autodesk Fusion Lifecycle
    23043 Slack
    23233 Microsoft Office Online
    25275 Microsoft Skype for Business
    25988 Google Docs
    26055 Microsoft 365 Admin Center
    26060 OPSWAT Gears
    26061 Microsoft Word Online
    26062 Microsoft PowerPoint Online
    26063 Microsoft Excel Online
    26069 Google Drive
    26206 Workiva
    26311 Microsoft Dynamics 365
    26318 Microsoft Azure AD
    26320 Microsoft Office Sway
    26321 Microsoft Delve
    26324 Microsoft Power BI
    27548 Microsoft Forms
    27592 Microsoft Flow
    27593 Microsoft PowerApps
    28353 Workplace by Facebook
    28373 CAS Proxy Emulator
    28375 Microsoft Teams
    32780 Microsoft Dynamics 365
    33626 Google
    34127 Microsoft AppSource
    34667 HighQ
    35395 Microsoft Dynamics Talent

    Nächste Schritte

    In diesem Dokument haben Sie die Entitätsstruktur, Bezeichner und das Schema in Microsoft Sentinel kennengelernt.

    Informieren Sie sich über Entitäten und die Entitätszuordnung.